yon
Friday
16 March 2007 18:02

Una de mis máximas es “hacer que la tecnología ayude a hacer mas sencilla la vida”. Así, soy una persona muy proclive a aceptar “adelantos” tecnológicos (una vez han pasado por un razonable tiempo en cuarentena).

Llevo utilizando Banca por internet desde hace mucho tiempo (curiosamente, sin embargo, no uso la banca telefónica…). Una cosa que siempre me ha parecido interesante es la manera en la que se protegen la autenticidad de las órdenes de las transacciones, de lo mas variada: dos firmas, una tarjeta con claves que van caducando, una tarjeta con claves que no caducan… esta semana decidí adoptar una nueva medida a la que se ha adherido mi banco: la firma electrónica (¡oh, milagro! Al fin se dejan de sandeces propia y adoptan un método externo, válido a nivel internacional).

Eso si, muchas veces los problemas de compatibilidad entre navegadores tiran hacia atrás. Eso es lo que pensaba que me estaba pasando al intentar utilizarla y me devolvía: “su navegador no ha generado una firma válida”, ya que la firma había sido correctamente importada de mi antiguo PC… pero hay que activar un par de cosas mas para que funcione:

  1. Abre una nueva pestaña en el navegador y escribe “about:config” en la barra de dirección. Comprueba que el valor de la preferencia “signed.applets.codebase_principal_support” es “true“. Si no lo es haz doble click sobre el valor y déjalo a “true”.
  2. Abre la ventana de gestión de certificados (Editar->Preferencias->Avanzadas->Certificados->Administrar certificados), pulsa sobre la pestaña “Autoridades” y busca la FNMT. Edita el certificado y marca al menos la opción “Este certificado puede identificar sitios web“.

Jesús Ángel del Pozo Martinez: Actualizar Certificado FNMT

Ahora, ya pude firmar que aceptaba el método OCSP (Online Certificate Status Protocol) para identificarme contra un organismo privado. Aquí teneis las condiciones (y la firma) del OCSP.

Firma Digital de la FNMT

Si quereis subiros al carro de tener firma digital, sabed que es un proceso bastante sencillo de apenas 24 horas.

  1. Solicitas por internet desde TU ordenador. (Será necesario para el paso 3 que lo hagas así, además lo contrario no sería seguro)
  2. Vas a una administración pública (a que te vean la cara y echar la única y última firma real que echarás a partir de ahora :P)
  3. Descargas el certificado desde el mismo ordenador que lo pediste (y lo exportas a un lugar seguro, siempre es bueno tener backup).

O si no, esperaros a que salga el DNIe.

Comentarios (31)

  1. Alonso Hurtado dice:

    Interesantísimo artículo.

    Si no fuera porque no he encontrado la autoridad FNMT entre mis autoridades del firefox… y el caso es que uso la firma electrónica de la FNMT… :)

    Bueno, mi banco aún sigue usando esos sistemas de seguridad tan cutrecillos…pero al mismo tiempo usables y aplicables.

  2. aop dice:

    digo lo mismo que alonso hurtado, la fnmt no está y no se como se agrega.

  3. yon dice:

    Pues desde la FNMT es donde te tienes que descargar el Certificado Raiz (y creerte a pies juntillas que es el bueno y que confias en él).

    Lo he encontrado en:
    http://www.cert.fnmt.es
    => “Obtenga el Certificado de usuario”
    => “Descarga de Contratos” (menú lateral)
    => “Descarga del Certificado raíz FNMT Certificado de Usuario”

    [Actualizado 7-03-2008] Como ahora esa ruta es imposible de seguir os pongo el enlace directo al Certificado Raíz FNMT Clase 2CA
    [Actualizado 18-08-2008] He actualizado el como llegar… por si no quereis pulsar en un enlace en una web ajena a la del FNMT (que es algo a lo que hay que acostumbrarse en internet, no pulsar en enlaces no originales).

  4. Antonio dice:

    Muchas gracias por esta ayuda. Como siempre, mejor que en el sitio web oficial. Así es Internet.

  5. Jose dice:

    Muchísimas gracias por la ayuda. Al principio me estaba volviendo loco pensando que confundía mi clave de firma. Luego paso a paso me di cuenta que me faltaba por activar todo lo que comentas.

    Eso sí, me gustaría añadir un paso extra más que me ha hecho falta, que quizás es debido a una actualización de Firefox. En el menú de certificados (Herramientas – Opciones – Avanzado) hay un botón llamado “Verificación”, que al menos en mi caso tenía como predeterminado “No utilizar OSCP vara la validación de certificados” cuando la opción correcta es la de “Utilizar OSCP para validar únicamente certificados que especifiquen una URL de servicios OSCP”

  6. Miguel dice:

    He seguido todos los pasos que comentáis, pero ná….Tengo Firefox en Mac.
    Me sigue saliendo “Su navegador no ha gener…..”

  7. Miguel dice:

    Señores….después de unos cuantos días de put…infierno, las soluciones……
    Saboréenlas por favorrrr!!!!

    Leed ésto primero:
    http://www.dailycosas.net/2007/03/16/firma-…23220

    Y luego ésto:
    http://www.reparacion-informatica.es/archives/520.html

    Saludos y suerte.

  8. Paula dice:

    Trabajo para Ceres… lo que teneis que hacer es descargar el certificado raiz y importarlo autoridades si, pero si no marcais las 3 opciones de confianza, es como si no hicierais nada, con eso os tiene que generar una firma valida ;)

  9. yon dice:

    Muchas gracias Paula… ¿podrías pasar nota a los que mantienen la web para que también se informe ahí? (veo que se hablan de particularidades de IE7… pero poco de Firefox u otros navegadores…)

  10. Paula dice:

    En la Web lo indica, es la FAQ 1079, aunque dan por por supuesto que el certificado raiz ya se debe tener, de todas formas, en los correos que se envian lo indican paso por paso, solo que la gente no lee:S

  11. Teresa dice:

    Tengo una firma digital FNMT, mi navegador es mozilla firefox y al intentar firmar en la página del ministerio de sanidad (en la solicitud de plaza mir) me pone:

    SU FIRMA “NO” HA SIDO ALMACENADA !!!

    Ha ocurrido un error en la verificación de su firma digital. Inténtelo de nuevo.

    He seguido todos los pasos y tengo bien instalada la raíz de la FNMT. Me reconoce el certificado puesto que aparece al meterme en la página, pero no me reconoce la firma.

    Si me pudierais ayudar os lo agradecería muchísimo;

    Teresa

  12. Paula dice:

    Has comprobado que el certificado raiz tiene marcadas las tres opciones de confianza? En herramientas, opciones, avanzado, cifrado, ver certificados, autoridades, busca FNMT, marca FNMT Clase 2 CA y pulsa Editar, si no las tienes marcadas, marcalas y prueba a firmar, si con esto sigue sin generar la firma, probablemente sea porque la pagina a la que intentas acceder no admite Mozilla, y tendrias que hacerlo desde IE.

  13. Paul C dice:

    Mil gracias, yon!!!

    Estaba luchando con esto durante dias, y la gente del FNMT no ayudaban …

  14. Luis dice:

    Muchas GRACIAS.!!!

    …me estaba volviendo loco.. las indicaciones de la web oficial estaban incompletas.. me faltaba el segundo paso sobre la pestaña de autoridades…

    Ya iba a revocar mi certificado y pedir otro nuevo..

  15. Pedro dice:

    Paula: muchas gracias por tu participación en esta discusión.
    El certificado raíz interesa descargárselo aunque uno no tenga un certificado de la FNMT. Por ejemplo, para acceder a la web de Renfe de forma segura es necesario contar con el cert. raíz de FNMT. El Firefox de mi linux no lo trae… así que quiero añadirlo.

    Sin embargo, no encuentro en la web de FNMT el enlace para descargar el certificado raíz. El comentario anterior de yon decía que se encuentra en “descarga de contratos”, pero no encuentro tampoco ese enlace en la web de FNMT (www.cert.fnmt.es).

    O bien yo no estoy viéndolo, o la web de FNMT no ofrece una forma sencilla de obtener su cert. raíz.
    A ver si podéis hacer algo… muchas gracias!

  16. Pedro dice:

    Lo siento… debo retirar mi comentario anterior. Ahora sí he encontrado la sección “Descarga de contratos” en la web de la FNMT.

    Un saludo,

  17. Ricardo dice:

    Yo uso Opera

    ¿Alguien sabe como hago todo esto en Opera?

    El certificado de la FNMT lo tengo instalado pero cuando intento firmar el contrato de uso OCSP me dice que no se ha generado la firma.

    ¿Que hago?

    Gracias

  18. jesús dice:

    Hola, muchas gracias por la info, la verdad es que la página de CERES está imposible para encontrar el certificado raíz de la FNMT, ya que uso Firefox 3 y no lo veo por ninguna parte, y todavía lo veo menos y recalco MENOS en CERES, algo incomprensible, y como no, gracias por lo de about:config, que la verdad no se como no lo explican mejor pues es muy complicado, gracias a tu página he VISTO la LUZ, Gracias de nuevo.

  19. anónimo dice:

    Gracias por compartir vuestras experiencias. Escribo porque aunque he seguido las recomendaciones no consigo que me funcione. Estoy intentando utilizar el certificado con tesoro.es.

    Cuando accedo a la aplicación, reconoce el certificado y puedo entrar, opero normalmente y cuando tengo que clikar el boton de “firmar” aparece el error: “Se necesita identificación. Seleccione el certificado que se debe usar para la autentificacion”, pero la lista aparece vacía. Parece que en este último paso no reconoce el certificado. Mi sistema es Vista y utilizo Firefox 2.0. He hecho la prueba con IE 7.0 pero es igual, en ese caso sale error, pero sin especificar el problema (“error inesperado”).

    Agradecería cualquier pista, ya no sé qué más intentar (¿pasarme a XP? es lo que me han dicho en el teléfono de consulta de tesoro.es ….).

    Gracias de antemano

  20. Jadriman dice:

    ¡¡Gracias!! Me acaba de venir estupendo esto para renovar mi certificado :D

  21. anónimo dice:

    Hola,

    Desde el día 1 que envié mi mensaje no he avanzado mucho. Sigo probando. He probado en otros dos ordenadores, esta vez, XP. Y el resultado es el mismo: al entrar en la web de tesoro.es reconoce el certificado pero cuando tengo que adjuntar la firma en el último paso sale la ventana de error diciendo que hay que autenticarse y que tengo que elegir el certificado, pero la lista está vacía.
    Ya no sé qué pensar. He seguido los pasos aquí indicados, y que también he encontrado en otras referencias.
    Intuía que el problema era con el applet y he activado el parámetro signed.applets.codebase_principal_support, pero igual. He mirado la consola de java y el error que aparece es: java.lang.ClassNotFoundException: es.burke.firma.client.BRKNavegadorApplet.class. Y aquí ya no sé qué hacer, ¿dónde se supone que debería estar esta clase? Aparte del certificado digital ¿hay que instalar algo más?

    Gracias por escucharme, y si alguien tiene alguna idea…

  22. Pedro dice:

    Jesús:

    Efectivamente es un problema de autenticación del applet. Lo hemos solucionado instalando el certificado en el panel de control de java (pestaña de seguridad) como autenticación de cliente. Ahora ya podrás elegirlo en la lista y ya no te lo volverá a pedir una segunda vez.

    Un saludo.

  23. noth » Blog Archive » Como renovar el certificado digital desde Firefox dice:

    [...] Revisé las faqs y no dí con ese error, seguramente esté orientado a usar el navegador explorer, así que recurro a San Google y doy con la respuesta , necesitaba configurar el firefox para poder firmar digitalmente. [...]

  24. DailyCosas 2.0 » Blog Archive » Problemas en las webs de la Policía Nacional con sus certificados digitales dice:

    [...] Este artículo es como una segunda parte del exitoso Firma digital FNMT desde Firefox. Este artículo asume que usas Firefox, en otros navegadores habrá un proceso equivalente Con cosas como éstas te das cuenta que este país es de traca: Llegas a la web de la Policía Nacional realizada exprofeso para solicitar cita previa para obtener el DNIe: https://www.citapreviadnie.es/ y te sale un aviso de error de Firefox: “Esta conexión no está verificada”. Lo cual da bastante miedito, ya que estamos hablando de la web a través de la que conseguir tu Documento Nacional de Identidad. [...]

  25. jordi dice:

    La solución de Pedro de incluir el certificado de usuario en el panel de control de java (pestaña de seguridad) como autenticación de cliente funciona (Firefox 3.6.3).
    Se exporta a una carpeta y se importa desde ella a java (panel de control). Además de dar las gracias a los que como él se preocupan de dar soluciones hay que denunciar, suena fuerte la palabra pero no hay otra, a los organismos públicos que no cuidan nada el detallar en las instrucciones las cuestiones vitales para los que no somos expertos. Es una verguenza que luego no aparezca nada de eso cuando se habla de lo poco difundido que está el uso de certificados y DNIe

  26. Dani dice:

    A mí no me funciona, me sigue dando el siguiente error java en el momento de intentar firmar:

    cargar: clase es.burke.firma.client.BRKNavegadorApplet.class no encontrada.

    A pesar de incluir mi certificado en el panel de control java, en el apartado de autenticación de cliente.

    Todos los demás pasos están comprobados también.

  27. Dani dice:

    Se me olvidó comentar que lo hago desde ubuntu 10.04

  28. Jose dice:

    Hola

    A mi me pasa lo mismo que a Dani, sigo teniendo el mismo error aunque lo meta en el panel de control de Java.

    Jose

  29. &res dice:

    ¡Muchas gracias por la información! Me funcionó sólo después de marcar las 3 opciones de confianza como indicaba Paula. Por cierto, he renovado mi certificado desde Ubuntu 10.04.
    Saludos.

  30. Joaquin dice:

    he marcado las casillas que me indican, preferencias, y me sigue dando el mismo error.

  31. DailyCosas 2.0 » Blog Archive » Certificado FNMT en Firefox… el gran ausente dice:

    [...] Con este comienzo de año llegaron dos cosas: el nuevo Firefox 4 y la Declaración de la Renta 2010. Y en algún ordenador cercano a mi se produjo el mismo problema de todos los años: Firefox 4 no incluye todavía (entre sus cientos de certificados raíz) NINGÚN CERTIFICADO RAÍZ de la FNMT. Esto es un fallo detectado hace años (aquí lo comentamos en 2007) y esperaba que ya se hubiera resuelto en versiones modernas. Y la culpa de este retraso es principalmente de la FNMT. [...]

¿Algo que comentar?